¿Por qué los empleados podrían ser la mayor amenaza a la ciberseguridad en el sector del cuidado de la salud?

¿Por qué los empleados podrían ser la mayor amenaza a la ciberseguridad en el sector del cuidado de la salud?

Los seres humanos son propensos a cometer errores. Sin embargo, hay diferencias en la gravedad de los errores que cometemos basados en el contexto: el qué, cuándo, dónde, por qué y cada cuánto tiempo ocurren.

Cuando se trata de manejar datos en el área salud, los errores pueden desembocar a veces en problemas serios de seguridad y los errores más problemáticos pueden poner en peligro la vida de los pacientes.

Aunque hemos aprendido que las violaciones de datos exitosas contra instituciones del sector del cuidado de la salud representan “grandes victorias” para los cibercriminales, ellos no son las únicas amenazas para la industria.

Las violaciones de datos y pérdida de información causadas por el error de algún empleado o simplemente por pura negligencia están aumentando y los profesionales de tecnología informática (TI) en el área de la salud tienen que tomar nota.

Los cibercriminales adoran los registros médicos por varias razones: contienen nombres completos, fechas de nacimiento, información familiar, números de seguro social, direcciones, números telefónicos, historia clínica, información de los parientes más cercanos y una amplia variedad de otros tipos de información personal.

Los registros médicos incluyen una gran cantidad de información sobre un individuo, permitiendo un abanico de opciones para cometer crímenes fraudulentos usando estos datos. Éstos proporcionan información que puede ser usada directamente o complementariamente en una amplia gama de cibercrímenes.

Entonces, ¿cómo exactamente es posible que los empleados sean la amenaza más peligrosa a la seguridad de la información en el área salud? Demos un vistazo más cercano.

Fraudes de identidad

Como las soluciones de seguridad y conectividad en las organizaciones del área de la salud han evolucionado y se han vuelto más efectivas, los cibercriminales han tenido que buscar nuevas vías de acceso. Como resultado, los fraudes de identidad se han vuelto una técnica popular, con empleados probando ser desafortunadamente un blanco fácil.

Una razón es que los fraudes de identidad son hoy más sofisticados que nunca, convirtiéndolos en una seria amenaza a la ciberseguridad.

ciberseguri

Estos ataques a través de email e ingeniería social se producen cuando los cibercriminales engañan a empleados para que suministren información personal o sensible, como nombres de usuario y contraseñas de la red. Es muy común para los invasores que hoy usan la ingeniería social tomarse el tiempo para conocer sobre el empleado y crear direcciones de correo electrónico y mensajes creíbles adaptados al blanco.

Los cibercriminales usan regularmente fraudes de identidad por etapas (recolectando paulatinamente la información) para obtener y usar lo que aprenden en contra de otro empleado y así aparentar legitimidad al mismo tiempo.

Una vez estos atacantes logran obtener la información que necesitan, ellos pueden tanto acceder al sistema usando los nombres de usuario y contraseña que han adquirido, o instalar malware para robar o poner en peligro la información delos pacientes.

Uso de dispositivos no aprobados
Hoy es común que los empleados en empresas de todas las industrias incorporen el uso de dispositivoselectrónicos propioscomo tabletas o teléfonos (bringyourowndevice o BYOD, por sus siglas en inglés) a sus ambientes corporativos de TI. Sin embargo, la facilidad de incluir los dispositivos móviles en algunas organizaciones hace que se puedan conectar equipos no autorizados a la red. El número de aparatos compatibles se ha multiplicado debido al avance tecnológico a través de los años, llevando a una red de fácil penetración y acceso a información sensible.

Como resultado de la expansión de los dispositivos móviles, el panorama de amenazas se ha expandido a una velocidad alucinante y muchos equipos de TI están teniendo problemas para seguir el ritmo.

Entrando a sitios web y aplicaciones inseguras

Los empleados pueden provocar inconscientemente daños serios a la ciberseguridad al entrar en sitios web inseguros o descargando aplicaciones mientras trabajan. Aunque las aplicaciones que están disponibles en tiendas oficiales de aplicaciones suelen ser seguras, ha habido ocasiones en las que aplicaciones piratas encuentran su camino a los dispositivos conectados. Cuando los empleados descargan aplicaciones comprometidas pueden inadvertidamente introducir spyware o malware en la red de sus empresas y dar acceso a datos sensibles mediante el dispositivo comprometido.

Lo mismo ocurre al acceder a sitios web inseguros. Los empleados que visitan sitios infectados, a veces ignorando protocolos que bloquean esos sitios, pueden exponer a robo o corrupción la información almacenada en sus equipos personales o incluso en la red de la compañía.

Estos mismos empleados usualmente son propensos a “ataques del intermediario” (man-in-the-middleattacks), que ocurren cuando un actor malicioso subrepticiamente se introduce en una conversación entre dos individuos en un intento de obtener información o ganar finalmente acceso a la red corporativa.

Construyendo y manejando una organización atenta a los ciberataques

A pesar de los evidentes riesgos que los empleados representan, las organizaciones siguen teniendo problemas a la hora de educar en los ambientes de trabajo. Estudios recientes han mostrado que sólo el 35% de losaltos directivos creen que la ciberseguridades una prioridad, entienden los riesgos que representan y son conscientes sobre la seguridad informática.

Las organizaciones del sector del cuidado de la salud necesitan tomarse el tiempo para capacitar sobre estos riesgos a su fuerza laboral mediante entrenamientos continuos. Y al final de esos cursos de entrenamiento, estas organizaciones deberían asegurarse de probar regularmente a sus empleados para evaluar su conocimiento, en un esfuerzo para reducir los riesgos en el ambiente de trabajo.

Además, es importante que los líderes directivos sean el ejemplo e incorporen el liderazgo también en ciberseguridad. Medidas simples como bloquear la pantalla al retirarse pueden llevar a otro empleado a hacer lo mismo.

Al mismo tiempo, los equipos de seguridad de TI tienen que tomar en cuenta la realidad del error humano cuando planifiquen y desplieguen sus soluciones de seguridad. Aunque el entrenamiento adecuado puede reducir los errores humanos, no van a desaparecer completamente en el tiempo cercano. Los equipos de TI harían bien en familiarizarse con la naturaleza del ser humano y su tendencia a equivocarse, y tomar esto en consideración cuando diseñen y desplieguen las redes de sus empresas.

Más leídas